Authentification MFA manquante pour un compte privilégié
High
Langue :
Description
L'authentification multifacteur (MFA), ou auparavant, authentification à deux facteurs (2FA), protège efficacement les comptes contre les mots de passe faibles ou compromis. Les bonnes pratiques et les normes de sécurité recommandent d'activer l'authentification MFA, en particulier pour les comptes privilégiés. Lorsqu'un attaquant obtient le mot de passe d'un utilisateur privilégié par une méthode quelconque, l'authentification MFA bloque l'authentification en demandant un facteur supplémentaire tel qu'un code valide temporairement provenant d'une application mobile, un jeton physique, une caractéristique biométrique, etc.
Cet indicateur d'exposition signale les comptes qui ne disposent pas de méthode MFA enregistrée et vous informe si vous forcez l'authentification MFA sans avoir enregistré de méthode. En effet, ce cas de figure peut permettre à des attaquants disposant d'un mot de passe d'enregistrer leurs propres méthodes MFA et de créer un risque de sécurité. Cependant, cet indicateur d'exposition n'indique pas si Microsoft Entra ID force ou non l'authentification MFA, car les stratégies d'accès conditionnel peuvent exiger l’authentification MFA en fonction de critères dynamiques.
Voir aussi l'IOE connexe, « Authentification MFA manquante pour un compte non privilégié », pour les comptes non privilégiés.
Solution
Tous les utilisateurs privilégiés signalés doivent enregistrer des méthodes MFA et l'authentification MFA doit leur être forcée, afin de renforcer leur protection contre les attaques de mot de passe.
Pour Microsoft Entra ID, Microsoft offre un modèle de stratégie d'accès conditionnel appelé Require MFA for administrators. La stratégie demande aux utilisateurs d'enregistrer une méthode d'authentification MFA la première fois qu'ils s'authentifient après l'application forcée de l'authentification MFA. Nous vous recommandons de suivre les instructions de la section « Planifier un déploiement d’accès conditionnel » dans la documentation Microsoft.
Notez que vous devez prévoir un ou deux comptes privilégiés d'accès d'urgence, utilisant des méthodes MFA différentes de celles des comptes d'administration standard, comme le recommande la documentation Microsoft dans « Gérer des comptes d’accès d’urgence dans Azure AD ».